bilgi@akbilisim.com.tr +90 216 519 27 45

Güvenlik Çözümleri

Penetrasyon testleri; günümüz bilgi güvenliği dünyasının en popüler/en önemli konularından biridir.

NOT: Penetrasyon testlerine kısaca ‘Pentest’ denilebilir.

Pentest kavramından ne anlaşılması gerektiği ve ne beklendiği bu doküman vasıtasıyla anlatılacaktır.

Pentest Tanımı: Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmasıdır. Pentest’te amaç, hedef üzerinde bulunan her türlü zafiyetin (sistem, network, web, database, software ve benzeri) ortaya çıkarılıp raporlanmasıdır. Pentest, zafiyet analizinden farklı olarak belirli bir amaç ve/ veya bir senaryo dahilinde gerçekleştirilir.

Neden Penetrasyon Testi Yaptırmalıyım?
Sahip olunan bilişim sistemlerine ait her türlü zafiyetin dış kaynaklı bir kurul ve/veya bir şirket tarafından teste tabi tutulması, kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Dış kaynaklı testler şirketlerin farkında olmadıkları her türlü güvenlik açığına farklı bir bakışla yaklaşarak ve daha koordineli çalışarak bu zafiyetleri ifşa etmek için çalışma gerçekleştirirler. Bundan dolayı yıl içerisinde periyodik olarak güvenlik testleri gerçekleştirilerek canlı sistemlere ait her türlü zafiyetin kapatılması, saldırıların engellenmesi sağlanır. Dünyada bir çok standart ve regülasyon uygulayıcı kurumlar(ISO, HIPAA, SOX, PCI) Pentest’in önemine dikkat çekip periyodik olarak gerçekleştirilmesini uygun bulmaktadırlar.

Pentest Çeşitleri
Whitebox, Blackbox olmak üzere genel kabul görmüş 2 çeşidi vardır.

1. White Box (Beyaz Kutu Testi) : İç test olarak da bilinen bu testi gerçekleştirecek firma tarafından müşteri networkünün içerisinde belirli bilgilerin sağlanması yoluyla, içeriden yapılacak saldırıları simüle etme amacıyla gerçekleştirilir.
2. Black Box (Siyah Kutu Testi) : Dış test olarak adlandırılan bu test hedef networke dışarıdan gelecek olan saldırıları simüle eder. Bu bağlamda bilgi çalmak, bilgileri yok etmek, bilgiye erişimi yok etmek gibi saldırı türleri gerçekleştirilir.

Pentest Çalışmasının Kapsamı ve Sonuçları Nasıl Olmalıdır?
Bir Pentest çalışmasına başlanırken kapsamla ilgili olarak aşağıdaki bileşenlere dikkat edilmelidir:
• White Box
• Black Box
• White Box + Black Box
• Network
• System
• Database
• Web
• DDoS
• Software
• Mobil
• Pentest gerçekleştirme sıklığı

Pentest Sonrası Nasıl Bir Yol İzlenmelidir?
Pentest sonrası üretilen rapor doğrultusunda sistemlere ait zafiyetler ilgili güvenlik yöneticisi/sistem yöneticisi veya bilgi işlem yöneticisi tarafından takip edilecek şekilde ya firma içi uzmanlarla ya da dışarıdan danışmanlık usulü çalışmalar gerçekleştirilmelidir. Çalışmaların hemen ardından kontrol amaçlı olarak testler tekrarlanmalıdır. Canlı sistemlerin her gün genişlemesi ve gelişmesi adına sistemler üzerindeki kontrolün zaman zaman kaybolması mümkündür. Büyüyen ve gelişen sistemlerin daha rahat kontrol altında tutulabilmesi için güvenlik testlerinin yıl içerisinde, periyodik olarak, en az yılda 2 kere gerçekleştirilmesi gerekmektedir. Testler ve çalışmalar sonrası bir sonraki Pentest’in tarihi en yakın zamanda belirlenmelidir.